微信公众号 讲师中心
首页
文章
后端开发 web前端 数据库 开发工具 php框架 常见问题 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 自媒体 新闻
专题
后端开发 web前端 数据库 开发工具 php框架 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 新闻
AI工具
AI 聊天问答 Agent智能体 AI 文本写作 AI 绘画作图 AI 设计工具 AI 视频创作 AI 音频制作 AI 办公学习 AI 编程开发 Prompt指令
学习
大前端 后端开发 数据库 移动端 运维开发 计算机基础
编程手册
大前端 后端开发 数据库 移动端 运维开发 计算机基础
下载
js特效 网站源码 工具下载 类库下载 网站素材 学习资源 插件扩展 手机/移动开发 手机游戏
最近更新
搜索
后端开发 web前端 数据库 开发工具 php框架 常见问题 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程
自媒体 新闻
首页 > Java > java教程 > 正文

Spring Security 6下MockMvc CSRF测试的挑战与解决方案

碧海醫心
发布: 2025-11-24 22:05:28
原创
229人浏览过

spring security 6下mockmvc csrf测试的挑战与解决方案

本文探讨了在Spring Boot 3和Spring Security 6环境中,采用`XorCsrfTokenRequestAttributeHandler`进行CSRF防护时,`MockMvc`单元测试中`with(csrf())`失效的问题。文章详细介绍了该配置如何解决`WebClient`的端到端测试,同时提供了一种手动获取并注入CSRF令牌的`MockMvc`测试方案,以确保API接口在启用CSRF保护时的正确性验证。

Spring Security 6中CSRF防护机制的演进与挑战

跨站请求伪造(CSRF)是一种常见的网络攻击,Spring Security提供了强大的机制来防范此类攻击。随着Spring Boot 3和Spring Security 6的发布,CSRF处理机制也进行了一些优化和调整。为了增强安全性并更好地支持现代前端框架,Spring Security推荐使用CookieCsrfTokenRepository.withHttpOnlyFalse()配合XorCsrfTokenRequestAttributeHandler来管理CSRF令牌。

以下是典型的Spring Security 6 CSRF配置示例:

// Enable CSRF security
http.csrf { csrfConfigurer ->
    // see https://docs.spring.io/spring-security/reference/5.8/migration/servlet/exploits.html#_i_am_using_angularjs_or_another_javascript_framework
    val tokenRepository = CookieCsrfTokenRepository.withHttpOnlyFalse()
    val delegate = XorCsrfTokenRequestAttributeHandler()
    // set the name of the attribute the CsrfToken will be populated on
    delegate.setCsrfRequestAttributeName("_csrf")
    // Use only the handle() method of XorCsrfTokenRequestAttributeHandler and the
    // default implementation of resolveCsrfTokenValue() from CsrfTokenRequestHandler
    val requestHandler = CsrfTokenRequestHandler(delegate::handle)

    csrfConfigurer.csrfTokenRepository(tokenRepository)
    csrfConfigurer.csrfTokenRequestHandler(requestHandler)
}
登录后复制

这种配置方式在处理真实世界的HTTP请求时表现良好,特别是在端到端测试中,能够有效防范CSRF攻击。

端到端测试(WebClient)中的CSRF处理

在使用WebClient进行端到端测试时,客户端通常需要从服务器响应中获取CSRF令牌,并在后续的修改类请求(如POST、PUT、DELETE)中将其作为请求头或请求参数发送回去。上述CSRF配置与WebClient的FilterFunction结合,能够很好地实现这一流程。当遇到4xx客户端错误时,FilterFunction会检查响应中是否存在XSRF-TOKEN cookie,如果存在,则将其提取并添加到重试请求的X-XSRF-TOKEN头部和XSRF-TOKEN cookie中。

以下是WebClient中处理CSRF令牌的FilterFunction示例:

override fun filter(request: ClientRequest, next: ExchangeFunction): Mono<ClientResponse> =
    next.exchange(request)
        .flatMap { response: ClientResponse ->
            if (response.statusCode().is4xxClientError) {
                val csrfCookie = response.cookies().getFirst("XSRF-TOKEN")
                if (csrfCookie != null) {
                    val retryRequest: ClientRequest = ClientRequest.from(request)
                        .headers { httpHeaders -> httpHeaders.set("X-XSRF-TOKEN", csrfCookie.value) }
                        .cookies { cookies -> cookies.add("XSRF-TOKEN", csrfCookie.value) }
                        .build()
                    return@flatMap next.exchange(retryRequest)
                }
            }
            Mono.just(response)
        }
登录后复制

此过滤器确保了WebClient在与启用了CSRF保护的后端服务交互时,能够自动处理令牌的传递,从而使端到端测试能够顺利通过。

单元测试(MockMvc)中的CSRF困境

然而,上述有效的CSRF配置却在MockMvc的单元测试中引发了问题。MockMvc提供了一个便捷的with(csrf())方法,用于在测试请求中模拟CSRF令牌的注入。但在Spring Security 6中,当使用XorCsrfTokenRequestAttributeHandler时,SecurityMockMvcRequestPostProcessors.csrf()(即with(csrf()))不再能够正确生成或匹配所需的CSRF令牌。这导致原本能够通过的MockMvc测试开始失败,并报告CSRF令牌不匹配的错误。

以下是典型的失败MockMvc测试示例:

轻幕
轻幕

轻幕是一个综合性短视频制作平台,诗词、故事、小说等一键成片转视频,让内容传播更生动!

轻幕 76
查看详情 轻幕 
@Test
fun `create tender with copyFrom null should succeed and return 201 and the uuid`() {
    mockMvc
        .perform(
            post("/api/my/endpoint")
                .param("title", "Angebot 1")
                .param("copyFrom", null)
                .with(user(tendererTestUsers[0]))
                .with(csrf()) // 此处调用with(csrf())会导致测试失败
        )
        .andExpectAll(
            status().isCreated,
            content().contentTypeCompatibleWith(MediaType.APPLICATION_JSON),
            jsonPath("$", `is`(notNullValue()))
        )
}
登录后复制

调试显示,with(csrf())生成的CSRF令牌与服务器期望的令牌不匹配,这是由于SecurityMockMvcRequestPostProcessors.csrf当前尚未支持XorCsrfTokenRequestAttributeHandler的内部机制。

MockMvc CSRF测试的解决方案

鉴于with(csrf())的局限性,目前的解决方案是在MockMvc测试中手动模拟CSRF令牌的获取和提交过程。这要求测试代码模拟浏览器或WebClient的行为,首先获取CSRF令牌,然后在需要CSRF保护的请求中手动添加。

步骤一:获取CSRF Token

首先,向Spring Security默认或自定义的CSRF端点(通常是/csrf)发送一个GET请求。这个请求会触发Spring Security生成一个新的CSRF令牌,并将其设置到响应的cookie中。

import org.springframework.mock.web.MockCookie;
import org.springframework.test.web.servlet.MvcResult;
import static org.springframework.test.web.servlet.request.MockMvcRequestBuilders.get;
import static org.springframework.test.web.servlet.result.MockMvcResultMatchers.status;

// ...
MvcResult mvcResult = this.mockMvc.perform(get("/csrf"))
                                   .andExpect(status().isOk()) // 确保请求成功
                                   .andReturn();
MockCookie csrfCookie = (MockCookie) mvcResult.getResponse().getCookie("XSRF-TOKEN");
// 检查cookie是否成功获取
if (csrfCookie == null) {
    throw new IllegalStateException("CSRF token cookie not found in /csrf response.");
}
String csrfTokenValue = csrfCookie.getValue();
登录后复制

步骤二:在请求中附加CSRF Token

获取到CSRF令牌的值和cookie后,在后续需要CSRF保护的POST、PUT或DELETE请求中,手动将令牌作为X-XSRF-TOKEN头部和XSRF-TOKEN cookie添加到请求中。

import static org.springframework.test.web.servlet.request.MockMvcRequestBuilders.post;
import static org.springframework.test.web.servlet.result.MockMvcResultMatchers.status;

// ... 假设csrfCookie和csrfTokenValue已从步骤一获取
this.mockMvc.perform(post("/api/my/endpoint")
        .header("X-XSRF-TOKEN", csrfTokenValue) // 将令牌值添加到X-XSRF-TOKEN头部
        .cookie(csrfCookie) // 将整个CSRF cookie添加到请求中
        .param("title", "Angebot 1")
        .param("copyFrom", (String) null) // 注意:对于null参数,需要显式转换为String
        .with(user(tendererTestUsers[0])) // 其他认证信息
    )
    .andExpect(status().isCreated()); // 验证请求成功
登录后复制

通过这种手动方式,MockMvc测试能够正确地模拟带有CSRF令牌的请求,从而验证API接口在启用CSRF保护时的行为。

注意事项与总结

  • 临时解决方案: 这种手动处理CSRF令牌的方式是目前SecurityMockMvcRequestPostProcessors.csrf不支持XorCsrfTokenRequestAttributeHandler的临时解决方案。Spring Security社区已意识到此问题,并在GitHub上存在相关讨论(例如:spring-projects/spring-security#12826spring-projects/spring-security#12774)。未来版本可能会提供更优雅的内置支持。
  • 测试覆盖: 确保你的测试覆盖了CSRF令牌缺失、无效或过期等场景,以验证应用的健壮性。
  • 配置一致性: 无论是在生产环境、端到端测试还是单元测试中,保持CSRF配置的一致性至关重要。

总之,虽然Spring Security 6在CSRF防护方面带来了新的挑战,但通过理解其工作原理并采用适当的测试策略,我们仍然能够有效地进行单元测试和端到端测试,确保应用的安全性。在等待MockMvc对新CSRF处理器提供原生支持的同时,手动管理CSRF令牌是当前确保测试覆盖率的有效途径。

以上就是Spring Security 6下MockMvc CSRF测试的挑战与解决方案的详细内容,更多请关注php中文网其它相关文章!

相关标签:
javascript java html js 前端 git json github cookie 处理器 浏览器 spring spring boot csrf 前端框架 Cookie Token 接口 delete github http

大家都在看:

最佳 Windows 性能的顶级免费优化软件
最佳 Windows 性能的顶级免费优化软件

每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。

下载
来源:php中文网
收藏 点赞
上一篇:Java策略模式实现详解:构建灵活可扩展的事件处理系统 下一篇:AnyLogic中数值范围约束与生成:利用内置分布与数学函数
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
作者最新文章
最新问题
Java策略模式实现与应用:优化事件处理的实践指南 本文深入探讨Java策略模式的实现与应用,旨在通过多态性而非条件语句来优化事件处理逻辑。文章详细阐述了策略模式的核心组件,并通过代码示例展示了如何定义策略接口、实现具体策略以及构建上下文。此外,还介绍了如何结合Spring框架管理和动态选择策略,从而提高代码的可维护性、扩展性和解耦性。
2025-11-24 21:23:02
107
使用Java根据年份和周数获取日期范围 本教程详细介绍了如何利用Java8及更高版本中的java.timeAPI,根据给定的年份和周数,精确计算出该周的起始日期(周一)和结束日期(周日)。我们将重点使用LocalDate和DateTimeFormatter.ISO_WEEK_DATE来解析ISO周日期格式,并提供清晰的代码示例,同时阐明ISO周日期系统中的“周年份”概念及其对日期计算的影响。
2025-11-24 21:21:02
484
Android Locale-Specific AM/PM 格式化问题及解决方案 针对AndroidAPI19上特定语言环境(如亚美尼亚语hy)中,SimpleDateFormat或TextClock可能返回过长AM/PM字符串导致UI显示异常的问题,本文提供了一种通过解析原始时间字符串并重新格式化为hh:mma模式的解决方案,同时探讨了DateFormatSymbols的自定义应用,以确保时间显示符合预期。
2025-11-24 21:01:03
137
使用 java.time API 从年份和周数计算周的起始与结束日期 本文详细介绍了如何使用Java8的java.timeAPI,根据给定的年份和周数,精确计算出该周的起始日期(周一)和结束日期(周日)。通过LocalDate.parse结合DateTimeFormatter.ISO_WEEK_DATE标准格式,开发者可以高效地实现这一功能,并理解“周年”概念对日期计算的影响,确保结果的准确性与鲁棒性。
2025-11-24 21:00:10
653
从年份和周数获取日期范围的Java教程 本教程详细介绍了如何使用Java8及更高版本的java.timeAPI,根据给定的年份和周数计算出该周的起始日期(周一)和结束日期(周日)。文章通过DateTimeFormatter.ISO_WEEK_DATE解析ISO周日期格式字符串,结合LocalDate对象进行日期计算,并强调了ISO周-年系统的特性,即周的起止日期可能跨越日历年界限。
2025-11-24 20:59:02
257
Java中根据年和周数获取周的起始与结束日期 本文详细介绍了如何在Java中使用java.time包,根据给定的年份和周数,精确计算出该周的起始日期(周一)和结束日期(周日)。通过利用LocalDate.parse方法结合DateTimeFormatter.ISO_WEEK_DATE格式化器,开发者可以高效且准确地处理基于周的日期计算,并理解“周年”概念对日期边界的影响。
2025-11-24 20:47:00
986
使用Java java.time API获取指定周的起始与结束日期 本文详细介绍了如何利用Java8及更高版本中的java.timeAPI,根据给定的年份和周数(遵循ISO8601标准)精确计算出该周的起始日期(周一)和结束日期(周日)。通过DateTimeFormatter.ISO_WEEK_DATE解析特定格式的字符串,可以便捷地获取LocalDate对象,并深入探讨了周年(week-year)与日历年(calendaryear)之间的重要区别,确保日期计算的准确性。
2025-11-24 20:43:01
184
Generex库随机字符串生成:掌握正则表达式量词以精确控制输出长度 本教程详细阐述了如何利用Generex库的random(min,max)方法生成符合特定正则表达式且长度可控的随机字符串。核心在于理解正则表达式中量词(如+、*、{n,m})的作用,它们是实现字符串变长输出的关键。若正则表达式本身未指定重复,Generex将只能生成单字符匹配,即便random方法指定了长度范围。
2025-11-24 20:37:02
661
使用Generex生成匹配正则表达式的随机字符串:解决长度控制问题 在使用Generex库的random(min,max)方法生成符合正则表达式的随机字符串时,开发者常遇到输出字符串长度不符合预期的问题。本文将深入探讨这一常见陷阱,揭示其根源在于正则表达式本身的构造,特别是对字符重复性(量词)的定义。通过引入正确的正则表达式量词,我们将演示如何确保Generex生成的随机字符串不仅匹配模式,还能严格遵循指定的最小和最大字符长度要求,从而高效地生成符合业务逻辑的测试数据。
2025-11-24 20:34:01
984
Jackson反序列化:将嵌套JSON字符串解析为List对象 当JSON数据中存在一个字段,其值本身是一个表示JSON数组的字符串时,Jackson的默认反序列化机制无法直接将其解析为Java的List对象。本文将深入探讨这一常见问题,并提供一种健壮的解决方案。我们将通过实现自定义的JsonDeserializer和ContextualDeserializer,动态获取目标类型信息,从而实现将嵌套的JSON字符串正确反序列化为指定类型的List集合。
2025-11-24 20:18:06
787
相关专题
更多>
热门推荐
开源免费商场系统广告
热门教程
更多>
相关推荐
热门推荐
最新课程
最新下载
更多>
网站特效
网站源码
网站素材
前端模板
关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新 English
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送
PHP中文网APP
随时随地碎片化学习

Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号

  • PHP学习

  • 技术支持

  • 返回顶部